Η εφοδιαστική αλυσίδα είναι προνομιακός στόχος για το κυβερνοέγκλημα, γιατί συνδέει εκατοντάδες οντότητες διαφορετικής ωριμότητας σε ένα ενιαίο ψηφιακό οικοσύστημα. Το πρόβλημα εντείνεται και προκαλεί τεράστια κόστη. Αυτά τονίζει μεταξύ άλλων στο L&M, ο κ. Ιωάννης Παυλόσογλου, Υποδιοικητής της Εθνικής Αρχής Κυβερνοασφάλειας
Για την κρισιμότητα της θωράκισης της εφοδιαστικής αλυσίδας απέναντι στο κυβερνοέγκλημα, τους τρόπους που μπορεί αυτό να επιτευχθεί και τους σημαντικότερους κινδύνους, μιλάει στο Logistocs and Management ο Υποδιοικητής της Εθνικής Αρχής Κυβερνοασφάλειας κ. Ιωάννης Παυλόσογλου.
Ο κ. Παυλόσογλου εξηγεί τους λόγους που ο χώρος της εφοδιαστικής αλυσίδας προσφέρεται κατά κόρον για επιθέσεις, καταγράφει τους τρόπους και τις δούς που ακολουθεί το κυβερνοέγκλημα για να αλώσει τους αδύναμους κρίκους του εσφοδιαστικού συστήματος. Επίσης ο κ. Παυλόσογλου, αναδεικνύει την κρισιμότητα της περιόδου που διανύουμε αναφορικά με την γεωπολιτική ένταση, ως προς την αυξημένη επικινδυνότητα για την εφοδιαστική αλυσίδα και καταγράφει τους τρόπους που η πολιτεία στέκεται δίπλα κυρίως στις μικρομεσαίες επιχειρήσεις για να τις θωρακίσει έναντι των κυβερνοεπιθέσεων.
Τέλος, αναφέρεται στο κανονιστικό πλαίσιο και τις πρόνοιες μέσω των σχετικών Οδηγιών για τη συμμόρφωση των επιχειρήσεων, φορέων και οργανισμών, ώστε να καταστεί αποτελεσματική η θωράκισή τους έναντι των κινδύνων από τις κυβερνοεπιθέσεις.
Ποιες θεωρείτε ότι είναι οι μεγαλύτερες κυβερνοαπειλές που αντιμετωπίζει σήμερα η εφοδιαστική αλυσίδα στην Ελλάδα;
Οι μεγαλύτερες κυβερνοαπειλές για την εφοδιαστική αλυσίδα δεν είναι σενάριο του μέλλοντος αλλά έχουν όνομα και μετρήσιμο αντίκτυπο. Σύμφωνα με τον Ευρωπαικό Οργανισμό Κυβερνοασφάλειας ENISA, με τον οποίο η Εθνική Αρχή Κυβερνοασφάλειας συνεργάζεται ενεργά σε θέματα κυβερνοαπειλών, ο τομέας των μεταφορών παραμένει σταθερά στους πέντε κυρίως στοχευμένους κλάδους στην ΕΕ, με το 7,5% του συνόλου των καταγεγραμμένων περιστατικών να τον αφορά άμεσα και το 12% των σοβαρών περιστατικών NIS να εντοπίζεται σε αυτόν.
Κυρίαρχη απειλή παραμένουν τα λυτρισμικά (ransomware), εκ των οποίων σε ποσοστό το 83,9% εντοπίζονται σε περιστατικά κυβερνοεγκλήματος κατά των μεταφορών με τις ομάδες Akira, INC Ransom και Cl0p να πρωτοστατούν. Οι συνέπειες δεν περιορίζονται στον οικονομικό τομέα, αλλά έχουν αντίκτυπο στην εν γένει λειτουργία της κοινωνίας. Για παράδειγμα, ο ENISA το 2025 καταγράφει κυβερνοεπίθεση στην Κροατία που οδήγησε σε διακοπή πτήσεων.
Ακολουθούν οι επιθέσεις DDoS από hacktivists με γεωπολιτικά κίνητρα, οι οποίες αντιπροσωπεύουν το 87,6% των συνολικών επιθέσεων στον κλάδο των μεταφορών, με ομάδες όπως η NoName05716 να στοχεύουν υποδομές χωρών που εκφράζουν υποστήριξη στην Ουκρανία. Για την Ελλάδα, με την ενεργή μας γεωπολιτική θέση, επιθέσεις τέτοιου τύπου δεν αποτελούν υποθετικά σενάρια, αλλά επιθέσεις πάνω στις οποίες έχουμε εστιάσει τις άμυνές μας.
Τέλος, δυστυχώς, το phishing παραμένει η κύρια οδός εισόδου των επιθέσεων, λαμβανομένου υπόψιν, ότι το 60% των επιθέσεων ξεκινά από εκεί, εκμεταλλευόμενο την πολυπλοκότητα της καθημερινής επικοινωνίας μεταξύ μελών της εφοδιαστικής αλυσίδας.
Πώς μπορεί το κράτος να ενισχύσει την ανθεκτικότητα των μικρομεσαίων επιχειρήσεων που συμμετέχουν στην εφοδιαστική αλυσίδα απέναντι σε κυβερνοεπιθέσεις;
Το κράτος ενισχύει ενεργά την ανθεκτικότητα των μικρομεσαίων επιχειρήσεων, προάγοντας την κυβερνοασφάλεια ως όχι μόνο ως τεχνικό ζήτημα αλλά κυρίως ως αντικείμενο με πρακτικές υποχρεώσεις σύγκλισης προς ένα κοινό πλαίσιο για όλους. Η Εθνική Αρχή Κυβερνοασφάλειας είναι σαφής στις συστάσεις της, με την βάση της άμυνας να είναι η κυβερνουγιεινή (cyber hygiene), ήτοι τακτικά patches και ενημερώσεις συστημάτων, ισχυρές πολιτικές κωδικών, τμηματοποίηση δικτύων και τακτικά αντίγραφα ασφαλείας σε απομονωμένα περιβάλλοντα. Πάνω σε αυτή τη βάση, η εφαρμογή ελέγχου ταυτότητας πολλαπλών παραγόντων (MFA) είναι από τα πλέον αποτελεσματικά μέτρα άμυνας κατά των επιθέσεων, ιδίως για τη διαχείριση του κινδύνου κατά λυτρισμικών και την προστασία διαπιστευτηρίων κατά την πλευρική εξάπλωση επιθέσεων. Εξίσου κρίσιμη για τη διαχείριση των επιθέσεων είναι και η εκπαίδευση του προσωπικού. Το phishing εξακολουθεί να αποτελεί την κύρια οδό εισόδου των επιθέσεων στις επιχειρήσεις και η ικανότητα διαχείρισης των επιθέσεων δεν θεραπεύεται μόνο με την τεχνολογία, αλλά κυρίως με τη διαρκή ενημέρωση και κατάρτιση επί των θεμάτων αυτών του προσωπικού. Τέλος, η αρχή του ελαχίστου προνομίου στη διαχείριση πρόσβασης περιορίζει δραστικά την έκταση της κάθε τυχόν παραβίασης. Όλα αυτά είναι αντικείμενα, τα οποία απασχολούν ενεργά την Εθνική Αρχή Κυβερνοασφάλειας, η οποία ενεργεί συνεχόμενες εκπαιδεύσεις και ενημερώσεις, με σκοπό και την ενίσχυση της ανθεκτικότητας μικρομεσαίων επιχειρήσεων.
Γιατί θεωρείται η εφοδιαστική αλυσίδα προνομιακός χώρος για το κυβερνοέγκλημα και ποιά τμήματά της είναι τα πλέον ευάλωτα;
Η εφοδιαστική αλυσίδα είναι προνομιακός στόχος για έναν απλό λόγο, γιατί συνδέει εκατοντάδες οντότητες διαφορετικής ωριμότητας σε ένα ενιαίο ψηφιακό οικοσύστημα. Ο επιτιθέμενος δεν χρειάζεται να νικήσει τον ισχυρότερο κρίκο, αλλά αρκεί να βρει τον πιο αδύναμο. Σύμφωνα με τον ENISA καθώς και δικές μας αναλύσεις, οι επιθέσεις στην αλυσίδα εφοδιασμού λειτουργούν ολοένα και περισσότερο ως οριζόντια απειλή που διαπερνά πολλαπλούς κλάδους ταυτόχρονα, με κύρια είσοδο τους τρίτους παρόχους λογισμικού και ψηφιακών υπηρεσιών.
Τα πλέον ευάλωτα τμήματα είναι τα σημεία επαφής με εξωτερικούς συνεργάτες. Σκεφτείτε πόσοι εμπλέκονται στην αλυσίδα αυτή, απο προμηθευτές, μεταφορείς, και τους αντιστοιχους παρόχους υπηρεσιών που αυτοί έχουν. Εδώ ακμάζει και το Business Email Compromise (BEC) μια επίθεση που δεν χρειάζεται κακόβουλο λογισμικό, αλλά εκμεταλλεύεται την εμπιστοσύνη. Ο επιτιθέμενος παρεισφρύει σε υπαρκτές αλληλογραφίες μεταξύ εταιρειών, παριστάνει πολλές φορές μέσω τηλεφώνου τον CEO ή τον εξωτερικό συνεργάτη και επιτυγχάνει πληρωμές ή αποσπά ευαίσθητα δεδομένα. Το 2024 καταγράφηκε αύξηση BEC περιστατικών με μέσο κόστος παραβίασης το ποσό των 4,67 εκατ. δολαρίων, απόδειξη ότι η ανθρώπινη εμπιστοσύνη παραμένει η πιο εκμεταλλεύσιμη ευπάθεια των συστημάτων.
……………….
Ενθετο
Ποιο είναι το κανονιστικό πλαίσιο
Υπάρχουν συγκεκριμένα πρότυπα ή κανονισμοί (π.χ. ευρωπαϊκές οδηγίες) που πρέπει να υιοθετήσουν οι εταιρείες logistics για να διασφαλίσουν την κυβερνοασφάλειά τους;
Το κανονιστικό πλαίσιο υπάρχει και είναι σαφές. Η οδηγία NIS2 αποτελεί τον βασικό κορμό, επιβάλλοντας υποχρεώσεις διαχείρισης κινδύνου κυβερνοασφάλειας σε οντότητες κρίσιμων τομέων, ανάμεσά τους και οι μεταφορές. Προβλέπει συγκεκριμένες και σαφείς κατευθυντήριες γραμμές για την ασφάλεια της αλυσίδας εφοδιασμού, τις οποίες οι υπαγόμενες σε αυτήν οντότητες (δημοσίου και ιδιωτικού τομέα) υποχρεούνται να μεταβιβάζουν και στους προμηθευτές τους. Παράλληλα, ο Κανονισμός Κυβερνοανθεκτικότητας εισάγει υποχρεωτικές απαιτήσεις ασφάλειας για ψηφιακά προϊόντα και υπηρεσίες. Σε επίπεδο προτύπων, το ISO/IEC 27001 και το NIST Cybersecurity Framework παρέχουν το οργανωτικό υπόβαθρο για τη διαχείριση του κινδύνου στην αλυσίδα εφοδιασμού, ιδίως ως προς τις σχέσεις με τρίτους παρόχους. Το ερώτημα δεν είναι αν τα εργαλεία υπάρχουν, αλλά αν οι εταιρείες logistics τα εφαρμόζουν ουσιαστικά ή μόνο τυπικά, προκειμένου να πιστοποιούν μόνο την υποχρέωση συμμόρφωσης.
…………………………………………………………
Η συγκυρία
Οι γεωπολιτικές εντάσεις του καιρού μας, εκτιμάτε ότι αυξάνουν τον κίνδυνο κυβερνοεπιθέσεων;
Ναι, αναμφίβολα. Εδώ πάλι, τα στοιχεία του ENISA δεν αφήνουν περιθώριο αμφιβολίας. Οι Russia-nexus ομάδες όπως η APT28 και η APT29 στοχεύουν ενεργά μέλη της ΕΕ που υποστηρίζουν την Ουκρανία, με την Ελλάδα να αναφέρεται ρητά στις χώρες που βρίσκονται στο στόχαστρο. Παράλληλα, China-nexus ομάδες όπως η Mustang Panda και η APT41 εστιάζουν σε ναυτιλιακές και logistics υποδομές σε ολόκληρη την ΕΕ, με στρατηγικό ενδιαφέρον για τους θαλάσσιους εφοδιαστικούς διαδρόμους. Αυτό δεν είναι κάτι το οποίο αφήνουμε να περάσει απαρατήρητο για μία χώρα με τον μεγαλύτερο εμπορικό στόλο στην ΕΕ.
Ωστόσο, το κρίσιμο ζήτημα είναι, ότι οι άμυνες μας πρέπει να παραμένουν οι ίδιες ανεξαρτήτως του επιπέδου κινδύνου και ανεξάρτητα από τις εκάστοτε γεωπολιτικές εντάσεις. Patches, MFA, τμηματοποίηση δικτύων, εκπαίδευση προσωπικού παραμένουν πρακτικές λύσεις σε οποιαδήποτε αύξηση κινδύνου κυβερνοεπιθέσεων. Οι εκάστοτε γεωπολιτικές εντάσεις αλλάζουν τα κίνητρα και την ένταση των επιθέσεων αλλά δεν αλλάζουν την τεχνολογία τους. Όποιος έχει θωρακίσει σωστά τα συστήματα του σήμερα, είναι έτοιμος και για αύριο.
Τι είδους συνεργασία υπάρχει μεταξύ δημόσιου και ιδιωτικού τομέα για την έγκαιρη ανίχνευση και αντιμετώπιση κυβερνοαπειλών στην εφοδιαστική αλυσίδα;
Η συνεργασία υπάρχει αρχικά σε ευρωπαϊκό επίπεδο και έχει συγκεκριμένη δομή. Η χώρα μας είναι ενεργό μέλος του δικτύου CSIRT, το οποίο συνδέει τις εθνικές ομάδες αντιμετώπισης περιστατικών σε όλα τα κράτη μέλη της ΕΕ, ενώ το δίκτυο CyCLONe παρέχει το πλαίσιο για συντονισμένη αντιμετώπιση μεγάλης κλίμακας κυβερνοκρίσεων. Ο Κανονισμός Κυβερνοαλληλεγγύης ενισχύει περαιτέρω αυτή τη συλλογική άμυνα, βελτιώνοντας τους μηχανισμούς ανταλλαγής πληροφοριών
Δεν είναι τυχαίο, ότι οι ελληνικές επιχειρήσεις του κλάδου εμφανίζουν σημαντική ανθεκτικότητα απέναντι σε κυβερνοαπειλές ακόμα και σε περιπτώσεις που κάποιες από αυτές είναι επιτυχημένες. Μέρος αυτής της ανθεκτικότητας οφείλεται ακριβώς στον τρόπο που ο δημόσιος τομέας έχει λειτουργήσει ως ενεργός εταίρος και όχι απλώς ως ρυθμιστής. Αυτή η σχέση θα εμβαθυνθεί περαιτέρω στο μέλλον, καθώς καμία μεμονωμένη οντότητα δεν μπορεί και δεν πρέπει να ανταποκρίνεται μόνη της σε αυτό το συνεχόμενα εξελισσόμενο τοπίο κυβερνοαπειλών.
